X-twitter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

Más de 4.000 puertas traseras son controladas mediante dominios caducados: la peligrosa realidad del abandono digital

Un reciente estudio realizado por WatchTowr Labs y la Fundación Shadowserver ha puesto de manifiesto una vulnerabilidad ampliamente ignorada: el uso de dominios caducados en infraestructuras de malware y herramientas de ataque. En un esfuerzo por prevenir su reutilización maliciosa, los investigadores registraron más de 40 dominios abandonados y lograron interceptar la comunicación de más de 4.000 sistemas comprometidos en todo el mundo, revelando la magnitud del problema.

Las puertas traseras digitales: una amenaza persistente

Las puertas traseras o «web shells» son herramientas maliciosas implantadas en sistemas comprometidos para ofrecer acceso remoto no autorizado a los atacantes. Estas permiten ejecutar comandos, gestionar archivos o incluso lanzar ataques adicionales contra el sistema afectado.

Lo más preocupante es que muchas de estas puertas traseras permanecen activas durante años, conectándose periódicamente a dominios previamente configurados por los atacantes. Cuando estos dominios caducan, se abren nuevas oportunidades para que otros actores (legítimos o no) los registren y tomen el control de las puertas traseras.

El estudio: interceptando el control de las puertas traseras

Los investigadores de WatchTowr Labs, en colaboración con Shadowserver, llevaron a cabo un experimento destinado a explorar las implicaciones de esta infraestructura abandonada. Registraron más de 40 dominios que anteriormente controlaban puertas traseras activas, instalando un sistema de registro para monitorizar la actividad.

Resultados sorprendentes

Tras registrar los dominios, los sistemas comprometidos comenzaron a «reportarse» automáticamente a los nuevos controladores. Los datos recopilados revelaron:

  • Más de 4.000 sistemas comprometidos intentando conectarse.
  • Puertas traseras en servidores gubernamentales de países como China, Nigeria y Bangladesh.
  • Sistemas afectados en universidades de Tailandia, Corea del Sur y China.

Entre las herramientas identificadas se encontraron algunas infames como:

  • r57shell y c99shell: conocidos por su funcionalidad avanzada, incluyendo fuerza bruta, ejecución de comandos y gestión de archivos.
  • China Chopper: una herramienta popular entre grupos avanzados de amenazas persistentes (APT).

Implicaciones de los hallazgos

El estudio destaca un problema clave en la ciberseguridad moderna: la falta de gestión de infraestructuras abandonadas por atacantes. Estas puertas traseras abandonadas podrían ser fácilmente reutilizadas por nuevos ciberdelincuentes para acceder a sistemas previamente comprometidos, todo por el coste mínimo de registrar un dominio.

Problemas identificados

  1. Infraestructura reutilizable: Los atacantes pueden aprovechar el trabajo previo de otros hackers simplemente registrando dominios caducados.
  2. Compromiso de sistemas sensibles: La presencia de puertas traseras en sistemas gubernamentales y educativos subraya la falta de controles efectivos en infraestructuras críticas.
  3. Impacto global: Los sistemas comprometidos no se limitan a un solo sector o región, demostrando la naturaleza generalizada de este problema.

Una solución proactiva: el papel de Shadowserver

Tras identificar los sistemas comprometidos, WatchTowr entregó el control de los dominios registrados a la Fundación Shadowserver. Esta organización sin ánimo de lucro se dedica a la seguridad de internet y actualmente está «hundiendo» todo el tráfico de los sistemas afectados hacia sus propios servidores, evitando que caigan nuevamente en manos maliciosas.

El futuro de la ciberseguridad y las infraestructuras abandonadas

Este caso subraya la importancia de gestionar de manera responsable las infraestructuras digitales, incluso aquellas utilizadas con fines maliciosos. La reutilización de dominios caducados no solo plantea riesgos para los sistemas comprometidos, sino que también revela una falta de concienciación sobre este problema.

Recomendaciones clave

  1. Monitorización continua: Empresas y gobiernos deben realizar auditorías regulares para identificar posibles puertas traseras y otras vulnerabilidades.
  2. Gestión de dominios: Asegurarse de que los dominios previamente utilizados, incluso en experimentos de seguridad, sean gestionados adecuadamente para evitar su reutilización.
  3. Colaboración global: La cooperación entre organizaciones como WatchTowr y Shadowserver demuestra la importancia de trabajar juntos para mitigar riesgos.

Conclusión

El hallazgo de más de 4.000 puertas traseras activas conectadas a dominios caducados evidencia una grave vulnerabilidad en la seguridad digital actual. Este tipo de investigaciones destaca la necesidad de abordar no solo las amenazas activas, sino también las infraestructuras que, aunque abandonadas, siguen representando un riesgo significativo. La colaboración proactiva y el uso responsable de estos datos serán esenciales para fortalecer la ciberseguridad global.

vía: watchtowr y Bleeping computing

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Antonio

Escribiendo sobre robótica, cloud computing, inteligencia artificial, y tecnología en general.

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Panzura refuerza la resiliencia empresarial con CloudFS 8.5 Adapt, su nueva plataforma de almacenamiento híbrido

cURL 8.12: Adiós al backend Hyper y nuevas mejoras en seguridad y rendimiento

ChatGPT se convierte en el “Google de la IA” con más de 400 millones de usuarios semanales

Intel y TSMC protagonizan la batalla por el liderazgo en chips con el avance de Intel 18A

© Copyright 1995-2024 Color Vivo Internet SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.